De aanvallers die voor het GhostNet spionagenetwerk verantwoordelijk zijn, zitten zeer waarschijnlijk ook achter de hack van beveiligingsbedrijf RSA en andere aanvallen. Dat heeft het Dell SecureWorks Counter Threat Unit Research Team ontdekt. Bij Ghostnet werden computers in meer dan 100 landen geïnfecteerd, waaronder van overheidsinstanties, ambassades en activistische groepen.

RSA werd gehackt via een zero-day lek in Adobe Flash Player, dat in een Excel-bestand zat verstopt. De aanvallers stuurden een e-mail met een kwaadaardige bijlage naar een handvol werknemers, waarvan één het bestand opende. Vervolgens wisten de aanvallers allerlei informatie te stelen met betrekking tot RSA's beveiligingstechnologie, waarmee vervolgens Amerikaanse defensiebedrijven werden aangevallen.

IP-adressen
Tijdens een onderzoek naar domeinnamen en e-mailadressen die bij verschillende cyberspionage operaties waren gebruikt, ontdekte SecureWorks een link tussen de aanvallen van GhostNet en de hack van RSA. De bende achter GhostNet zou een hostnaam hebben gebruikt, die ook bij de RSA-hack terugkwam. Verder lijken de aanvallers dezelfde IP-adressen te gebruiken.

"Het feit dat drie verschillende IP-adressen bij dezelfde internetprovider tijdens een korte periode elkaar overlappen, lijkt op een gedeelde infrastructuur te duiden, die zowel gebruikt werd door de aanvallers van RSA als andere aanvallers die de RegSubsDat malware gebruikten", aldus Joe Stewart van Dell SecureWorks. De informatie die Stewart op het spoor van de aanvallers bracht was deels afkomstig van verschillende gehackte websites, waaronder rootkit.com.

Cyberspionage
De Chinese provider waar de IP-adressen van zijn is volgens sommigen een broeinest van cyberspionage, gaat de onderzoeker verder. "Deze subnets zijn in honderden hostnames voor tientallen aangepaste malware families gezien, bekend of verdacht van spionageactiviteiten", stelt Stewart in deze boeiende analyse.